在 SecureCRT 中配置 Debian 防火墙的正确思路
核心要点
- SecureCRT 是终端仿真客户端,不能直接配置防火墙;你需要在 Debian 服务器上通过命令行使用 UFW 或 iptables 来设置规则。
- 操作前务必先确保有一条可用的 SSH 会话(建议端口 22/TCP),避免因规则不当导致被锁在外面。
- 规则变更前先查看状态与现有规则,变更后及时持久化与验证。
通过 UFW 快速配置
- 安装与启用
- 安装:sudo apt update && sudo apt install ufw
- 默认策略:sudo ufw default deny incoming,sudo ufw default allow outgoing
- 启用:sudo ufw enable
- 常用放行
- SSH:sudo ufw allow ssh(或 sudo ufw allow 22/tcp)
- HTTP/HTTPS:sudo ufw allow 80/tcp,sudo ufw allow 443/tcp
- 特定来源 IP:sudo ufw allow from 203.0.113.10/32
- 查看与验证
- 状态:sudo ufw status,详细:sudo ufw status verbose
- 规则持久化
- UFW 默认规则在启用/变更时会写入并持久化,无需额外保存命令。
通过 iptables 配置
- 查看与放行
- 查看:sudo iptables -L -n
- 放行 SSH:sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- 放行 HTTP/HTTPS:sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT,sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- 默认策略(谨慎)
- 丢弃入站:sudo iptables -P INPUT DROP(仅在已放行 SSH 等关键端口后执行)
- 持久化与开机恢复
- 保存:sudo iptables-save > /etc/iptables/rules.v4
- 开机恢复:创建 /etc/network/if-pre-up.d/iptables,内容:
- #!/bin/bash
- /sbin/iptables-restore < /etc/iptables/rules.v4
- 赋权:sudo chmod +x /etc/network/if-pre-up.d/iptables
- 验证
SecureCRT 连接与会话设置
- 新建会话
- 协议:SSH2
- 主机:服务器 IP/域名
- 端口:22(若已修改,使用实际端口)
- 认证:密码或 SSH 密钥
- 安全建议
- 禁用 Telnet(明文),优先 SSH
- 如需通过跳板机,使用 端口转发 等功能,避免在公网暴露管理端口
安全与排错建议
- 变更前先放行 SSH 22/TCP,再启用/应用更严格的策略,避免中断会话。
- 规则顺序很重要;在 UFW 中可用 sudo ufw insert 1 … 将关键规则置顶。
- 变更后用 sudo ufw status verbose 或 sudo iptables -L -n -v 核对命中计数与策略。
- 云服务器需同时检查 云平台安全组/NACL 是否放行对应端口,否则本机防火墙放行也无效。
